研究人員發現了BlackEnergy APT組織和上個月使用Expetr惡意軟件實施全球攻擊的背后操縱者之間的聯系。?BlackEnergy?的 KillDisk 勒索軟件?的舊版本和Expetr代碼有很強的相似性。2015年底，?烏克蘭電網分析報告中就表示，攻擊者跟?BlackEnergy 3 和KillDisk 相關，?報告還表示攻擊者仍有機會在其他國家發動類似的攻擊?。

卡巴斯基與Palo Alto安全公司展開協作

此次，卡巴斯基的研究人員稱, BlackEnergy?和 ExPetr 在有針對性的擴展組件中，首次發現了相似性?？ò退够鶎嶒炇遗c?Palo Alto?網絡的研究人員展開協作, 說他們 "專注于類似的擴展名列表，負責解析加密或清除文件系統的代碼"?？ò退够鶎嶒炇胰蜓芯亢头治鲂〗M的研究員在上周五的一篇文章中提到。

“我們試圖一起去建立一個功能列表，用來制定YARA規則，以檢測ExPetr和?BlackEnergy擦除器??！?/span>

YARA?是一個工具，用于檢查不同的文件和目錄并找到基于簽名的相似性。

"我們對代碼進行自動比對, 并將結果按照簽名進行準確匹配，希望能夠找到其中的相似之初。我們將通用代碼和有趣的字符串進行組合, 形成統一的規則, 以甄別?BlackEnergy?KillDisk 組件和 ExPetr 的樣本, "

仔細檢查 BlackEnergy KillDisk 勒索軟件和 ExPetr擦除器惡意軟件中使用的代碼后, 發現了"低置信度" 的相似性。然而, 研究人員說, 當更多YARA規則投入檢測時, 相似性變得非常精確。

研究員表示

"當然, 這不能說兩者之間是有明確的聯系, 但它確實表明了這些惡意軟件家族之間的某些代碼設計的相似之處,"

這項研究可能有利于確定幕后的攻擊者，是誰在利用expetr和擦除器惡意軟件破壞了成千上萬的電腦。BlackEnergy apt組織早就知道使用0day, 破壞性的工具和惡意代碼，攻擊工業控制系統，它在2015年襲擊了烏克蘭電網，并在過去幾年中實施了一系列類似的破壞性攻擊。

卡巴斯基認為Expetr不能算勒索軟件 因為它并不解密

在過去的幾天里，Expetr一直被當做wiper惡意軟件而非最初認定的勒索軟件。雖然它也具有勒索組件，但即使受害者支付了贖金。Expetr也無法解密受害者的磁盤，

雖然在檢測中被證實了具有相似性，但是卡巴斯基實驗室的高級安全研究員Guerrero-Saade上周在與 Comae 技術公司的一次網絡研討會上說,

"你不能把這種沒有解密方法的攻擊的方式稱為勒索病毒”。

ESET安全公司也有研究稱?Expetr與BlackEnergy有關

ESET 的類似研究也發現了 ExPetr 和 BlackEnergy 之間的聯系。根絕ESET的研究，跟?BlackEnergy有關聯的TeleBots組織?也和Expetr的爆發有關。ExPetr惡意軟件中的KillDisk加密模塊正帶著TeleBots的印記。他們表示，

“在攻擊的最后階段，TeleBots總是使用KillDisk惡意軟件來覆蓋某些文件，這些文件在受害者磁盤上具有特定文件擴展名?！?/p>

BlackEnergy 和 TeleBots 都有針對烏克蘭關鍵基礎設施和銀行實施攻擊的歷史。ExPetr 爆發被認為源于烏克蘭金融軟件供應商MEDoC的更新機制。此外, 攻擊還導致烏克蘭城市 Bakhmut 的政府網站被破壞, 并被用于通過驅動器下載的方式傳播惡意病毒。

卡巴斯基實驗室的研究人員寫道:

"這種低置信度, 但讓人執著的預感, 促使我們向世界各地的其他研究人員發出邀請，邀請你們與我們一起調查這些相似之處, 找尋更多關于 ExPetr/Petya起源的真想?！?/p>

北約合作網絡防御中心認為?ExPetr攻擊很可能是國家行為

另外, 北約合作網絡防御中心 (ccd coe) 的研究人員認為, ExPetr 攻擊很可能是國家行為。?他們在6月30日發布的聲明中稱,

"在2017年6月27日，NotPetya (或 ExPetr) 惡意軟件在全球爆發，并攻擊了位于烏克蘭、歐洲、美國和俄國的多個機構，這極有可能是國家行為。"

然而, 北約國際網絡安全部門表示, 目前還不清楚到底是誰在幕后襲擊。ccd??coe 報告稱:

"在任何政府的競選活動中,都缺乏明確的強制措施, 因此禁止干預并不起作用”。

根據 ccd coe 聲明提示稱, 網絡攻擊引發的現實世界影響，能夠觸發北大西洋公約5條, 其中可能包括軍事反應。

"但是, 目前沒有關于這種影響的報告,"

原文發布時間：2017年7月4日 本文由：threatpost發布，版權歸屬于原作者 原文鏈接:http://toutiao.secjia.com/blackenergy-expetr 本文來自云棲社區合作伙伴安全加，了解相關信息可以關注安全加網站

總結

以上是生活随笔為你收集整理的真执着 卡巴斯基和Palo Alto找到了BlackEnergy和ExPetr的相似代码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。